Clique aqui para voltar à página inicial  http://www.novomilenio.inf.br/ano00/0007c002.htm
Última modificação em (mês/dia/ano/horário): 07/20/00 20:06:14
Descoberto grave bug em programas Windows

Um erro grave no programa de correio eletrrônico do sistema operacional Windows da Microsoft, descobrto nos últimos dias, permite que hackers introduzam código maligno na própria mensagem remetida e criem assim uma nova geração de vírus que agem independentemente da ação do usuário, apagando todos os arquivos existentes no computador do internauta. Hoje (20/7), a Microsoft colocou em seu site uma atualização de sistemas que corrige o problema.

Esta é a página de alerta do SANS Institute sobre o problema
Segundo o jornal eletrônico ABKNet, editado por um brasileiro na Alemanha, a falha está na tecnologia ActiveX usada pela Microsoft, atingindo as versões Outlook Express 4.0, 4.01, 5.0 e 5.01, bem como as versões Outlook 97, Outlook 98 e 2000. É o mais grave erro técnico descoberto por especialistas num programa desse tipo.

"Ao contrario dos virus tradicionais, o novo virus não necessita sequer que esteja em arquivos anexados", nem há necessidade do usuário abrir arquivos vinculados à mensagem. "O grupo de pesquisa conhecido como Underground Security Systems
Research declarou já ter conseguido introduzir em testes um código deste tipo em e-mails. O instituto de seguranca de computadores SANS considerou o problema
como o mais grave erro de programacao até hoje descoberto. A Microsoft assumiu a existência do erro e está alertando os usuários em sua homepage em inglês", informa o boletim da ABKNet.

A falha - O boletim do SANS Institute confirma que o usuário fica vulnerável simplesmente lendo um e-mail recebido que contenha o código maligno. E relata que o primeiro alerta foi dado em 27/6 por Georgi Guninski. O SANS desenvolveu os testes e comprovou ser uma das mais sérias falhas das estações de trabalho com Windows nos últimos anos. Consultada, a Microsoft respondeu que só informaria detalhes após ter um programa corretivo. Em 14/7, a empresa divulgou comunicado sobre o assunto, e agora é apresentada a atualização dos programas. 

Segundo o instituto, o Internet Explorer usa um tag de objeto que carrega um controle ActiveX, que normalmente é um arquivo executável. Entretanto, os documentos do MS Office também são controles AtiveX. Na instalação-padrão (default), os controles ActiveX são carregados atuomaticamente, sem aviso ao usuário. O Internet Explorer pode ser configurado para dar esse alerta ao usuário, mas há uma falha importante pela qual o alerta só aparee quando o controle solicitado é um arquivo de dados do MS Accesss (extensão *.MDB).

Explica o SANS que a ordem de eventos nesse caso é: 1) o usuário abre uma página Web com um tag de objeto; o Internet Explorer carrega (por download) o banco de dados e chama o Access para abrir esse arquivo; 3) o Internet Explorer alrta o usuário, solicitando que autorize a abertura do arquivo; 4) O usuário clica em [Não]; 5) o Internet Explorer apresenta uma mensagem de erro de que algum código nessa página é inseguro.

"Como pode ser visto nessa sequëncia de eventos, a ordem de execução é falha. O Internet Explorer está abrindo o arquivo do Access antes de perguntar ao usuário se pode fazê-lo. Agora, se o usuário tiver desabilitado inteiramente a execução de controles ActiveX, a seguinte sequência de eventos deve ocorrer: 1) o usuário abre uma página Web com tag Objeto; 2) o Internet Explorer carrega o arquivo de dados e chama o Access para abrí-lo; 3) O Internet Explorer informa o usuário de que algum código na página é inseguro. Ainda assim, o arquivo de dados é aberto antes do Internet Explorer verificar se devem ser executados controles ActiveX.

"A Microsoft chama esse problema de vulnerabilidade IE Script. O título é enganador pois implica que se o Active Scripting está desabilitado o código maligno não funcionaria. Isso não é verdade", completa o SANS, explicando que, como demonstrou, desabilitar a execução de scripts não barra a ação do arquivo com código malicioso (o vírus, se for o caso).

Por outro lado, torna-se muito fácil enviar código maligno através de e-mail HTML, pois muitos programas populares de correio eletrônico, como Outlook, Outlook Express e Eudora permitem uma pré-visualização, que mostra mensagens formatadas com código HTML. O interpretador usado para esses programas é o Internet Explorer. Assim, o usuário não precisa abrir o e-mail ou carregar nada para um eventual código maligno funcionar. Além disso, se essa mensagem com código maligno for a única na caixa de mensagens no momento em que esta for aberta, será automaticamente executada nesse momento.

"Este é um problema muito sério devido ao poder da linguagem Visual Basic for Applications (VBA) usada no Access. Access pode rodar código VBA quando o banco de dados é aberto. Nós tivemos sucesso em fazer o Access se conectar a um arquivo de rede de trabalho Windows (CIFS) compartilhado na Internet e rodar um programa a prtir dele. Assim, um atacante pode rodar um programa com código maligno que não precisa residir na máquina do usuário."

O boletim especial do SANS Institute informa que a vulnerabilidade afeta todos os sistemas Windows (2000, NT 4.0, 98 e 95), que tenham instalados os programas MS Access 97 ou 2000; Internet Explorer 4.0 ou superior, incluindo 5.5 (Windows 2000 inclui IE 5); sistemas com Outlook, Outlook Express, Eudora ou qualquer outro leitor de correio eletrônico que use o Internet explorer para apresentar código HTML.

Mais uma - Outra falha do gênero é que o Excel 2000 e o PowerPoint 97 e 2000 podem ser chamados por script de dentro do Internet Explorer para gravar um arquivo numa locação arbitrária do disco rígido do usuário, tão logo o usuário acesse esse trecho de código. Isso habilita um atacante a salvar arquivos em lugares como o diretório Iniciar usado pelo ambiente Windows do computador da vítima.

Essa vulnerabilidade não é explorável se o Active Scripting e/ou a execução dos controles ActiveX estiverem desabilitados. O problema é que o Excel e o PowerPoint são marcados como seguros para a execução de rotinas (scripting). O arquivo de correção do programa (patch) deverá marcá-los como inseguros para a execução dessas rotinas.

Página de atualização do Office já exibe um dos arquivos para correção do problema
Vínculos - A informação do SANS é completada com instruções técnicas aos administradores de redes para o bloqueio de códigos e do compartilhamento de bancos de dados, fechamento de portas de comunicação (UDP 138, UDP e TCP 139, e UDP e TCP 445) etc. Há também indicações sobre páginas da Microsoft que abordam a questão e linguagem técnica (adequada aos especialistas em programação de computadores), além dos arquivos de correção, para download. 

São estes os endereços citados para os downloads de arquivos corretivos:

  • Office Update

  • http://officeupdate.microsoft.com
  • Microsoft Excel 2000 and PowerPoint 2000:

  • http://officeupdate.microsoft.com/2000/downloaddetails/Addinsec.htm
  • Microsoft PowerPoint 97:

  • http://officeupdate.microsoft.com/downloaddetails/PPt97sec.htm

    Para mais informações, o instituto sugere:

  • Microsoft Security Bulletin MS00-049

  • http://www.microsoft.com/technet/security/bulletin/MS00-049.asp
  • Frequently Asked Questions: Microsoft Security Bulletin MS00-049

  • http://www.microsoft.com/technet/security/bulletin/fq00-049sp
  • Microsoft Knowledge Base (KB) article Q268365 "XL2000: Update Available for HTML Script Vulnerability"

  • http://www.microsoft.com/technet/support/kb.asp?ID=268365
  • Microsoft Knowledge Base (KB) article Q268457 "PPT2000: Update Available for HTML Script Vulnerability"

  • http://www.microsoft.com/technet/support/kb.asp?ID=268457
  • Microsoft Knowledge Base (KB) article Q268477 "PPT97: Update Available for HTML Script Vulnerability"

  • http://www.microsoft.com/technet/support/kb.asp?ID=268477